APT, backdoor, Communiqué de presse, Cybersécurité, Securite informatique

SneakyPastes : une opération basique mais efficace du cybergang Gaza frappe des cibles liées au Moyen-Orient dans 39 pays

En 2018, le cybergang Gaza, dont nous savons désormais qu’il comprend plusieurs groupes plus ou moins sophistiqués, a lancé une opération de cyberespionnage ciblant des personnes et des institutions ayant un intérêt politique en lien avec le Moyen-Orient. La campagne, nommée SneakyPastes, utilisent des adresses e-mail jetables pour propager l’infection par phishing, avant de télécharger le malware par étapes successives depuis divers sites gratuits. Cette méthode peu coûteuse mais efficace a permis au groupe de frapper environ 240 victimes d’envergure dans 39 pays à travers le monde, notamment des responsables politiques, des diplomates, des activistes ou des médias.

Le cybergang Gaza est un collectif arabophone à motivations politiques, rassemblant des groupes malveillants étroitement liés qui ciblent activement le Moyen-Orient et l’Afrique du Nord, en particulier les Territoires palestiniens. Kaspersky Lab a identifié au moins trois de ces groupes ayant des objectifs et des cibles similaires – pour du cyberespionnage lié à des intérêts politiques dans la région – mais présentant des outils, techniques et niveaux de sophistication très différents. Il existe cependant des éléments communs à chacun d’entre eux.

Le cybergang Gaza

Parmi ces groupes, les plus avancés sont Operation Parliament et Desert Falcons, identifiés respectivement depuis 2018 et 2015, aux côtés d’un groupe sous-jacent moins complexe, également connu sous le nom de MoleRats, actif depuis au moins 2012. Au printemps 2018, ce groupe de base a lancé l’opération SneakyPastes.

SneakyPastes a commencé par des attaques de phishing autour de thèmes politiques, propagées à l’aide d’adresses e-mail et de domaines « jetables » (à usage unique). Les liens ou fichiers joints malveillants sur lesquels les destinataires cliquaient ou où qu’ils téléchargeaient installaient ensuite l’infection sur leur machine.

SneakyPastes

Afin d’échapper aux systèmes de détection et de masquer la localisation du serveur de commande et de contrôle (C&C), un malware supplémentaire était téléchargé sur les machines des victimes par étapes successives depuis divers sites gratuits, notamment Pastebin et Github. Les différents implants malveillants utilisaient PowerShell, VBS, JS et dotnet pour assurer leur résilience et leur persistance à l’intérieur des systèmes infectés. La dernière étape de l’intrusion était un cheval de Troie à accès distant (RAT), qui contactait le serveur C&C puis collectait, compressait, cryptait et transférait vers celui-ci un large éventail de documents volés (tableaux de chiffres, par exemple). L’opération SneakyPastes tire son nom de l’utilisation massive, par les auteurs de l’attaque, de sites de collage (paste) pour infiltrer progressivement le RAT dans les systèmes des victimes.

Les chercheurs ont collaboré avec les autorités afin de mettre au jour le cycle complet d’attaque et d’intrusion de l’opération SneakyPastes. Ces efforts ont permis d’aboutir, non seulement à une connaissance détaillée des outils, techniques, cibles, etc., mais aussi au démantèlement effectif d’une grande partie de l’infrastructure.

Territoires palestiniens, en Jordanie, en Israël et au Liban

L’opération SneakyPastes a connu son pic d’activité entre avril et mi-novembre 2018, se concentrant sur une liste restreinte de cibles constituées d’entités diplomatiques et gouvernementales, d’ONG et de médias. D’après les données télémétriques, il semble exister environ 240 victimes d’envergure – individus ou institutions – dans 39 pays à travers le monde, dont la majorité se trouve dans les Territoires palestiniens, en Jordanie, en Israël et au Liban. Il s’agit notamment d’ambassades, d’administrations, de médias et de journalistes, d’activistes, de partis politique ou de particuliers, ainsi que d’établissements dans les secteurs de l’éducation, de la banque et de la santé ou encore des organisations contractantes.

« La découverte de Desert Falcons en 2015 a marqué un tournant dans le paysage des menaces car il s’agissait alors de la première APT connue qui soit entièrement arabophone. Nous savons à présent que ses auteurs, le cybergang Gaza, ciblent activement des intérêts moyen-orientaux depuis 2012. Celui-ci s’appuyait au départ sur les activités d’une équipe assez peu sophistiquée mais acharnée, à l’origine de l’opération SneakyPastes en 2018. SneakyPastes montre que le manque d’infrastructures et d’outils avancés n’est pas un obstacle au succès. Nous nous attendons à voir les dommages causés par les trois groupes du cybergang Gaza s’intensifier et leurs attaques s’étendre à d’autres régions du monde qui sont également liées à la question palestinienne », commente Amin Hasbini, responsable du centre de recherche pour le Moyen-Orient au sein de l’équipe GReAT (Global Research & Analysis Team).

backdoor, Leak

TajMahal, le petit palais de la malveillance numérique

TajMahal, une rare plate-forme de cyberespionnage forte de 80 modules malveillants, avec des fonctionnalités inédites et sans liens connus avec des menaces existantes.

Des chercheurs ont mis à jour une plate-forme de cyberespionnage techniquement très élaborée, active depuis au moins 2013 et sans liens apparents avec des menaces connues. Cette plate-forme, nommée TajMahal par les chercheurs, compte environ 80 modules malveillants et présente des fonctionnalités jusque-là inédites dans une menace persistante avancée (APT), par exemple la capacité de voler des informations dans les files d’attente d’imprimante et de capturer des fichiers, repérés précédemment sur une clé USB, lors de sa connexion suivante. Kaspersky Lab a observé jusqu’à présent une seule victime, une ambassade d’un pays d’Asie centrale, mais il est probable que d’autres ont été touchées.

Les chercheurs de Kaspersky Lab ont découvert TajMahal vers la fin de 2018. Il s’agit d’une plate-forme APT techniquement très élaborée, conçue pour des activités poussées de cyberespionnage. L’analyse du malware révèle que la plate-forme a été développée et utilisée depuis au moins cinq ans, l’échantillon le plus ancien datant d’avril 2013 et le plus récent de 2018. Le nom « TajMahal » est celui du fichier servant à exfiltrer les données volées.

TajMahal 2.0

Il semble que la plate-forme TajMahal comporte deux principaux packages, qui se nomment eux-mêmes « Tokyo » et « Yokohama ».

Tokyo est le plus petit des deux, comptant environ trois modules. Il contient les principales fonctionnalités du backdoor (la porte dérobée) et se connecte périodiquement aux serveurs de commande et de contrôle (C&C). Tokyo exploite PowerShell et demeure présent sur le réseau même après le passage à la phase 2 de l’intrusion.

Cette seconde phase est Yokohama, une plate-forme dotée d’armes complètes d’espionnage. Celle-ci comprend un système de fichiers virtuel (VFS) regroupant l’ensemble des modules, des bibliothèques tierces open source et propriétaires, ainsi que des fichiers de configuration. On y dénombre en tout près de 80 modules, notamment de chargement, d’orchestration, de communication C&C, d’enregistrement audio, d’enregistrement des frappes clavier, de copie d’écran et de piratage de webcam ou encore destinés au vol de documents et de clés cryptographiques.

TajMahal peut également dérober des cookies de navigateur, collecter la liste de sauvegarde des appareils mobiles Apple ou de voler les données d’un CD gravé par une victime ainsi que des documents dans la file d’attente d’une imprimante. Le malware peut aussi commander le vol d’un fichier particulier sur une clé USB vue précédemment, fichier dérobé lors de la prochaine insertion de celle-ci dans l’ordinateur.

Les systèmes ciblés infectent à la fois par Tokyo et Yokohama

Cela donne à penser que Tokyo constituait la première phase de l’infection, déployant les fonctionnalités complètes de Yokohama chez les victimes qui présentent un intérêt, puis restant sur place à des fins de sauvegarde. Jusqu’à présent, une seule victime identifiée : une représentation diplomatique d’un pays d’Asie centrale, infectée en 2014. Les vecteurs de diffusion et d’infection de TajMahal sont pour l’instant inconnus.

« La plate-forme TajMahal est une découverte très intéressante et très curieuse. Sa complexité technique ne fait aucun doute et elle présente des fonctionnalités encore jamais observées auparavant dans une menace avancée. Un certain nombre de questions se posent. Par exemple, il paraît hautement improbable qu’un tel investissement ait été engagé à l’encontre d’une seule victime. Cela laisse penser qu’il existe d’autres victimes non encore identifiées et/ou que des versions supplémentaires de ce malware sont en circulation. Les vecteurs de diffusion et d’infection de la menace sont eux aussi inconnus. D’une manière ou d’une autre, celle-ci a échappé aux radars pendant plus de cinq ans. Que ce soit dû à son inactivité relative ou à une autre raison, cela constitue un autre mystère. Aucun indice ne nous permet d’attribuer cette menace ni de la relier à des groupes malveillants connus », commente Alexey Shulmin, analyste principal en malware.

Chiffrement, cryptage, Cybersécurité, ID, Identité numérique, Particuliers, Securite informatique

Secure File Transfer : nouveau site de téléchargement en mode chiffré

3 commentaires

Une société néerlandaise met en ligne un concurrent à Wetransfer. Originalité du service, utiliser le chiffrement bout-à-bout pour sécuriser les communications.

L’entreprise KPN vient de mettre en ligne un nouveau service de transfert de fichiers. Son nom : Secure File Transfer. SFT permet de diffuser ses fichiers comme Wetransfer.

A la différence de ce dernier, Secure File Transfer propose un chiffrement de type bout-en-bout. Le système est assez étonnant.

Si vous souhaitez envoyer un fichier, un code QR apparaît. Il faut transférer l’information à votre destinataire sous forme de photographie. Ce dernier doit scanner l’image avec sa webcam afin de pouvoir télécharger le document que vous souhaitez lui transmettre. Vous pouvez communiquer jusqu’à 4go de données. L’expéditeur peut paramétrer la durée de disponibilité et le nombre de téléchargement possible.

Une fois votre fichier téléchargé, un QR Code est généré, ainsi qu’un lien de transfert. Il est possible de rajouter un mot de passe.

La version bêta de ce service est accessible.

Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Securite informatique, Social engineering

Faille pour Windows : possible de copier vos fichiers à distance

Un chercheur en cybersécurité découvre comment des pirates pourraient vous voler des fichiers via Internet Explorer… même si le navigateur est fermé.

Un chercheur en sécurité informatique, John Page (Hyp3rlinx), a découvert comment il était possible de prendre la main sur vos fichiers via un ordinateur sous Windows 7, 10 et Server 2012. Une attaque qui exploite Internet Explorer.

Le plus inquiétant est que le navigateur n’a pas besoin d’être ouvert pour que l’infiltration fonctionne. Un pirate doit motiver son interlocuteur à ouvrir un fichier, envoyé par mail ou via un lien. Mission, ouvrir un fichier MHT particulièrement formulé.

Via ce MHT, le pirate peut copier les fichiers de votre ordinateur. Comme le précise ZDNET, Microsoft alertée. La réaction peu rapide du géant américain a motivé John Page a révélé la faille.

python -m SimpleHTTPServer

Lors de l’ouverture locale du fichier « .MHT » malveillant, il convient de lancer Internet Explorer. Ensuite, les interactions utilisateur telles que l’onglet en double « Ctrl + K » et d’autres interactions, telles que les commandes « Aperçu avant impression » ou « Imprimer » effectuées par un clic droit sur la page Web peuvent également déclencher la vulnérabilité.

Testé avec succès dans le dernier navigateur Internet Explorer (11), avec les derniers correctifs de sécurité.

Microsoft indique « qu’une solution à ce problème serait prise en compte dans une future version de ce produit ou service. Pour le moment, nous ne fournirons pas de mises à jour régulières sur l’état du correctif relatif à ce problème, et nous avons classé cette affaire ».

backdoor, Chiffrement, Communiqué de presse, Cybersécurité, Mise à jour, Patch, Securite informatique

De nouvelles vulnérabilités des routeurs Verizon exposent des millions de consommateurs

Selon une étude Tenable, des pirates pourraient obtenir le contrôle complet des routeurs domestiques Verizon et l’accès au trafic du réseau sans avoir besoin d’un accès physique à l’appareil.

Une équipe de recherche a découvert de multiples vulnérabilités dans les routeurs Verizon Fios Quantum Gateway. Si elles étaient exploitées, les vulnérabilités donneraient à l’attaquant un contrôle total sur le routeur et une visibilité sur tout ce qui y est connecté. Des millions de ces appareils sont actuellement utilisés dans les foyers américains.

L’essor de la maison intelligente a fait du simple routeur une cible de choix pour les cybercriminels. Ces dernières vulnérabilités découvertes par Tenable Research (CVE-2019-3914, CVE-2019-3915 et CVE-2019-3916) ouvrent la voie à un certain nombre de scénarii d’attaque qui permettent d’accéder aux dispositifs intelligents, comme les systèmes de sécurité domestiques, qui sont connectés au routeur et peuvent être compromis à distance. Un attaquant pourrait altérer les paramètres de sécurité de l’appareil, modifier les règles du pare-feu ou supprimer les contrôles parentaux. Ils pourraient surveiller le trafic réseau pour compromettre davantage les comptes en ligne d’une victime, voler ses coordonnées bancaires et récupérer ses mots de passe.

« Les routeurs sont aujourd’hui la plaque tournante de toute la maison intelligente. Ils nous permettent de rester connectés à Internet, de sécuriser nos maisons et même de déverrouiller les portes à distance, explique Renaud Deraison, cofondateur et CTO chez Tenable. Mais ils servent aussi de point d’entrée virtuel au cœur même de la maison moderne, contrôlant non seulement ce qui sort, mais aussi qui entre. »

Verizon a indiqué que la version 02.02.00.13 du firmware traitera ces vulnérabilités et que les périphériques concernés seront mis à jour à distance.

Chiffrement, Cloud, Communiqué de presse, Cybersécurité, Entreprise, Mise à jour, Patch, RGPD, Securite informatique

Buckets open cloud : 52 secondes suffisent pour qu’un Serveur Cloud se fasse attaquer par des pirates

Buckets open cloud : Une étude indique qu’il suffirait de 52 secondes pour qu’un serveur cloud soit sous les tirs d’une cyberattaque. L’étude porte sur 10 serveurs cloud honeypots, répartis dans le monde. L’enquête révèle un réel besoin en visibilité et de sécurité pour protéger ce que les entreprises mettent sur des plateformes hybrides et tout-cloud.

Il a fallu moins de 40 minutes en moyenne pour que des cybercriminels attaquent des serveurs cloud honeypots déployés sur 10 sites différents répartis dans le monde entier, le site de São Paolo au Brésil faisant l’objet de l’attaque la plus rapide, au bout de 52 secondes seulement. Les serveurs basés à Paris ont subi une première tentative de connexion malveillante au bout de 17 minutes et 20 secondes seulement, ce qui fait de Paris la ville d’Europe touchée le plus rapidement par ces attaques (et la 4ème ville au niveau mondial).

Paris est la deuxième ville d’Europe la plus ciblée en terme de nombre d’attaques – les honeypots hébergés sur des serveurs à Paris ont subi 612 885 attaques en trente jours (juste derrière l’Irlande avec 616 232 attaques). Les serveurs cloud ont été, en moyenne, la cible de 13 tentatives d’attaque par minute et par honeypot.

5 millions d’attaques

Plus de 5 millions de tentatives d’attaques ont été détectées sur tous les honeypots, et ce sur une période de 30 jours.

Ces 10 centres de données parmi les plus populaires au niveau d’Amazon Web Services (AWS) dans le monde, ont été testés pendant 30 jours. On compte parmi eux des emplacements à Paris, à Francfort, à Londres, en Irlande, en Californie, en Ohio, à Mumbai, à São Paulo, Singapour ou encore à Sydney.

Les résultats montrent ainsi comment les cybercriminels recherchent automatiquement les buckets open cloud vulnérables. Si les attaquants réussissent à entrer, les entreprises peuvent alors voir des données vulnérables exposées. Les cybercriminels utilisent également des serveurs cloud compromis comme relais pour accéder à d’autres serveurs ou réseaux.   « Le rapport Sophos ‘Exposed: Cyberattacks on Cloud Honeypots’ identifie les menaces auxquelles font face les entreprises qui migrent vers des plateformes hybrides et tout-cloud. La rapidité et l’ampleur des attaques contre les honeypots prouvent le niveau de menace persistant des cybercriminels et montrent qu’ils utilisent des botnets pour cibler les plateformes cloud d’une entreprise. Il peut s’agir parfois d’attaquants humain, mais quoi qu’il en soit, les entreprises ont besoin d’une stratégie de sécurité pour protéger ce qu’elles mettent sur le cloud », déclare Matthew Boddy, spécialiste cybersécurité chez Sophos. « La question de la visibilité et de la sécurité au niveau des plateformes cloud est un défi majeur pour les entreprises. Et avec la migration croissante vers le cloud, cette tendance se confirme ».    

 

Android, Apple, Chiffrement, Communiqué de presse, Cybersécurité, ID, Identité numérique, ios, iOS, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Sécurité, Securite informatique, Smartphone, VPN

Reborn 3 : le premier navigateur de bureau prêt pour le Web 3, l’Internet du futur

Reborn 3, le plus récent navigateur Opera pour Mac, Windows et Linux comprend dorénavant un portefeuille Crypto, un explorateur Web 3 et un VPN gratuit. Reborn 3 est conçu pour donner aux gens un sentiment de contrôle sur leur vie en ligne et un aperçu du Web de l’avenir.

Pari osé pour les Norvégiens de chez Opera. Le navigateur concurrent de Chrome, Firefox et autre Edge, pour ne citer qu’eux, devient le premier navigateur sur ordinateur à inclure un portefeuille Crypto natif et un navigateur Web 3. Des nouveautés pour les 24 ans d’existence du navigateur.

Blockchain

D’abord, cette nouvelle fonctionnalité permet aux gens d’effectuer des transactions et d’interagir avec l’Internet du futur basé sur une blockchain. Egalement connu sous le nom de Web 3. En fournissant également un VPN gratuit,  les utilisateurs restent en sécurité.

« Le Web a transformé nos vies. Nous sommes maintenant en ligne en permanence. Mais plus nous passons de temps en ligne, plus nous avons besoin d’outils qui nous aident à contrôler la sécurité et la confidentialité de notre vie numérique « , explique Krystian Kolondra, vice-président exécutif d’Opera,responsable des navigateurs à Data Security Breach. « Avec cette mise à niveau majeure, nous faisons le premier pas vers le Web 3, le nouveau Web, où les utilisateurs ont le contrôle. Nous pensons que chaque navigateur en 2019 devrait être prêt pour le Web 3. »

Naviguez sur le Web 3 sur votre PC, signez des transactions avec votre smartphone

Ensuite, le portefeuille Crypto du navigateur Opera se synchronise avec le portefeuille Crypto du navigateur Opera pour Android. Cela signifie que les clés de portefeuille ne quittent jamais les smartphones.

En pratique, chaque fois qu’ils ont besoin de s’identifier sur un site Web 3 ou de signer une transaction sur la blockchain, vous recevrez une notification sur le téléphone. La fonction Porte-monnaie Crypto devrait également être ajoutée au navigateur iOS d’Opera, Opera Touch, prochainement.

Un service VPN plus rapide pour plus de sécurité et de confidentialité

Pour conclure avec ce Reborn 3, la demande de services VPN ne cesse de croître. Actuellement, un tiers des utilisateurs de VPN à travers le monde utilisent cette solution avec l’intention de rester anonyme sur le Web. Opera est le seul éditeur à fournir un VPN rapide et gratuit. Le VPN illimité du navigateur améliore la confidentialité en ligne des utilisateurs et améliore leur sécurité lorsqu’ils utilisent des réseaux publics auxquels ils ne font pas confiance.

Enfin, le VPN du navigateur établit un tunnel sécurisé et chiffré qui protège les données de tiers. Il permet de cacher leur position géographique aux sites Web. Le service VPN du navigateur est également un service sans journal, ce qui signifie que les serveurs VPN n’enregistrent et ne conservent aucune donnée d’activité, tout cela pour protéger la vie privée des utilisateurs.

Télécharger ici.

Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, RGPD, Sauvegarde, Securite informatique

Stratégie vs tactique, les fournisseurs cybersécurité sont-ils trop nombreux ?

Si vous demandez à n’importe quel membre d’un comité de direction ou d’un comité exécutif quelle place il accorde à la cybersécurité, il vous répondra qu’il la prend « très au sérieux ». Et c’est certainement vrai. Personne ne souhaite voir son entreprise citée lorsque l’on parlera de la prochaine faille de cybersécurité qui aura exposé des millions de consommateurs au vol d’identité ou causé de lourdes pertes financières et une chute du cours de l’action. Pourtant, si tous semblent partager ce sentiment, pourquoi la stratégie de cybersécurité des entreprises parait-elle encore si confuse ?

Ce désordre n’est ni le fait des fournisseurs ni des utilisateurs. Il est la conséquence des défis de plus en plus complexes à relever en matière de sécurité et de la tendance humaine naturelle à vouloir s’attaquer à chaque problème qui survient. Cependant, cette approche crée un environnement où les tactiques et les solutions ponctuelles absorbent toute l’énergie et toutes les ressources – éloignant ainsi la possibilité de mener une véritable réflexion stratégique sur le problème.

En réalité, bien qu’ils puissent contribuer à structurer, à gérer ce chaos, les fournisseurs de technologie peuvent également être acteurs du problème. Qu’il s’agisse de petites structures ou de fournisseurs de renom, ils offrent une vaste gamme de produits et de services qui tirent parti de la crainte suscitée par les dernières actualités en matière de cybersécurité. Mais la conséquence est qu’il y a souvent trop d’acteurs impliqués, un avis que partagent les principaux fournisseurs de solutions de cybersécurité.

Dans le cas de grandes entreprises, on peut facilement dénombrer jusqu’à 80 ou 90 fournisseurs différents. Chacun prétendra être impliquée dans un aspect ou un autre de la cybersécurité. Privilégier une gestion distincte de chacun de ces fournisseurs et des vulnérabilités spécifiques que ces derniers adressent, risque de mener les responsables de la sécurité de l’information (RSSI) à suspendre la planification et les stratégies de sécurité à long terme, pour consacrer leur temps et les ressources critiques en personnel à combattre les derniers malwares, piratages et autres crises.

A contrario, les pirates informatiques sont concentrés sur la planification de leur prochaine attaque, s’efforcent de trouver la prochaine vulnérabilité – et non la dernière, et bien entendu, ils ont une stratégie !

Comment les entreprises se préparent-elles pour combattre ces nouvelles attaques ?

Dans l’idéal, elles veulent que la sécurité soit intégrée partout et constamment. Mais comment y parvenir sans collaborer avec toujours plus de fournisseurs, qu’elles devront gérer ? Comment faire face aux éventuels risques de failles de leur protection que les hackers s’empresseront d’exploiter ?

Pour y répondre, une approche par le réseau constitue une étape cruciale. Car le réseau touche tous les actifs de l’entreprise, d’une architecture informatique hybride à l’ensemble des utilisateurs, partenaires et clients. Un réseau inattaquable est le fondement de la sécurité d’entreprise dans un monde hautement connecté.

Opter pour une organisation « network first » a un impact sur toutes les décisions liées à la sécurité. Il est alors possible de l’intégrer aux fondements du réseau, comme le font les fournisseurs de réseaux globaux.

Les fournisseurs de réseaux globaux sont chargés de protéger les services publics qui circulent sur leur réseau, y compris internet lui-même. Ils ont donc développé une grande expertise en matière de protection des réseaux afin de sécuriser leur propre activité.

Certains de ces fournisseurs surveillent constamment le trafic Internet, les botnets, les serveurs de domaine utilisés par les attaquants potentiels et d’autres menaces actuelles et émergentes à l’échelle globale, et mettent en place des stratégies d’attaque et de défense.

Network first

Cette technologie et cette expertise en cybersécurité sont déjà intégrées au réseau.

En s’associant à ce type de fournisseur de services de sécurité managés (MSSP), les entreprises ont accès aux outils et à l’expertise que ces derniers utilisent pour se protéger. Des ressources qui leur permettent d’adapter des services à valeur ajoutée basé sur un réseau intégré pour répondre aux besoins spécifiques des entreprises en matière de cybersécurité.

S’appuyer sur un MSSP ne signifie pas qu’elles ne peuvent pas profiter de l’expertise d’une petite structure, qui travaille sur la meilleure protection possible contre un type d’exploitation très particulier. Cela induit surtout la possibilité de concentrer les ressources de l’entreprise sur son cœur de métier pendant que les experts en cybersécurité du MSSP évalue cette solution spécifique et l’intègre dans un cadre prédéfini.

Les stratégies globales « network first » impliquant un fournisseur de services de sécurité managés vont de pair avec une évolution du rôle du RSSI. Celui-ci passe d’une position de veilleur à une position plus proactive concentrée sur les futures attaques et la mise en place d’une véritable stratégie de défense en matière de cybersécurité. Voilà ce que signifie vraiment prendre la cybersécurité « très au sérieux  ».  

Par Alain Khau, Spécialiste Cybersécurité EMEA, CenturyLink
Android, Chiffrement, Communiqué de presse, Cybersécurité, ID, Identité numérique, IOT, Logiciels, Mise à jour, Patch, Sécurité, Securite informatique, Smartphone, Téléphonie

Vulnérabilité dans les applications Xiaomi

Les smartphones sont généralement fournis avec des applications préinstallées, dont certaines sont utiles et d’autres ne sont jamais utilisées. Un utilisateur ne s’attend toutefois pas à ce qu’une application préinstallée soit réellement dommageable pour sa vie privée et sa sécurité.

Check Point Research a récemment découvert une vulnérabilité dans l’une des applications préinstallées de Xiaomi, l’un des plus importants fabricants de téléphones mobiles au monde, qui avec près de 8 % de parts de marché en 2018, se classe troisième sur le marché de la téléphonie mobile. Ironiquement, l’application de sécurité préinstallée « Guard Provider », qui est censée protéger les téléphones contre les logiciels malveillants, expose les utilisateurs à des attaques.

En raison de la nature non sécurisée du trafic réseau entre Guard Provider et les différents SDK utilisés par l’application, un pirate pourrait se connecter au même réseau wifi que la victime et déclencher une attaque de type Man-in-the-Middle. Des failles dans les communications entre les différents SDK permettraient au pirate d’injecter n’importe quel logiciel malveillant de son choix, par exemple pour dérober des mots de passe ou surveiller les activités de l’utilisateur, un logiciel rançonneur ou tout autre type de logiciel malveillant. Pour plus de détails techniques, veuillez consulter Check Point Research.

Comme toutes les applications préinstallées telles que Guard Provider, ce type d’application est présent sur tous les appareils mobiles et ne peut être supprimé. Conformément à sa politique de communication responsable, Check Point a notifié Xiaomi, qui a publié un correctif peu de temps après.

Les avantages et les inconvénients des SDK

 Un kit de développement logiciel (SDK) est un ensemble d’outils de programmation permettant aux développeurs de créer des applications pour une plate-forme spécifique. Dans le cas des appareils mobiles, les SDK mobiles permettent aux développeurs de gagner du temps en leur évitant d’avoir « à réinventer la roue » et d’améliorer la stabilité du back-end pour les fonctionnalités qui ne sont pas liées au cœur de leur application.

À mesure que le développement de SDK s’accroit, de nouvelles opportunités d’apporter de meilleures fonctionnalités à leurs utilisateurs se présentent aux développeurs d’applications.

Mais lorsque de plus en plus de codes tiers s’ajoutent à une application, les efforts pour maintenir la stabilité de son environnement de production, protéger les données des utilisateurs et contrôler les performances, deviennent beaucoup plus complexes.

SDK fatigue

On emploie le terme « d’usure par SDK » (de l’anglais « SDK fatigue ») pour décrire cette utilisation accrue de plusieurs SDK au sein de la même application, qui rend l’application plus vulnérable à des problèmes de plantage, de virus, de logiciels malveillants, de failles de confidentialité, de consommation d’énergie, de ralentissement et bien d’autres problèmes.

Les inconvénients cachés de l’utilisation de plusieurs SDK au sein d’une même application résident dans le fait qu’ils partagent tous le contexte et les autorisations de l’application. Ces principaux inconvénients sont :

  1. Un problème dans un SDK compromettant la protection de tous les autres.
  2. Les données de stockage privées d’un SDK ne peuvent pas être isolées et sont donc accessibles à un autre SDK.

Selon un rapport récent, l’utilisation de plusieurs SDK dans une seule application est beaucoup plus courante qu’on ne le pense. Plus de 18 SDK sont implémentés en moyenne dans la même application. Ce faisant, les développeurs exposent les entreprises et les utilisateurs à des dangers potentiels qui peuvent être exploités par les pirates pour perturber le fonctionnement normal des appareils.

2 + 2 n’est pas toujours = à 4

Le personnel de sécurité informatique d’une entreprise n’est pas censé connaître les tenants et les aboutissants des kits de développement logiciel (SDK) utilisés pour créer les applications que les employés installent éventuellement sur leurs appareils. Il est cependant important de savoir que la façon dont les applications sont développées peut comporter des risques pour la sécurité. On pourrait supposer que les éléments utilisés dans une application de sécurité sont sécurisés, mais comme le montre la vulnérabilité dans les applications préinstallées de Xiaomi, c’est loin d’être le cas.

Les développeurs et les entreprises doivent également comprendre qu’un élément sécurisé associé à un autre élément sécurisé dans une application sur un téléphone ne signifie pas nécessairement que l’ensemble restera sécurisé lorsque ces deux éléments seront mis en œuvre conjointement.

La seule défense contre ces menaces cachées et obscures consiste à garantir que le parc d’appareils mobiles de votre entreprise est protégé contre les attaques de type Man-in-the-Middle.

APT, Argent, backdoor, Banque, Base de données, Cybersécurité, Entreprise, Fuite de données, ID, Particuliers, Securite informatique, Téléphonie

Anubis : cheval de Troie bancaire décortiqué

Anubis 2 est apparu dans le « paysage des menaces » en 2017 en tant que cheval de Troie bancaire en location (disponible pour les fraudeurs dans des forums undergrounds), l’auteur et créateur du malware se surnomme « maza-in ». Si ce dernier a disparu des radars, son outil malveillant est toujours en action.

En tant que malware bancaire, Anubis incite ses victimes à fournir des informations personnelles et sensibles, telles que les logins bancaires, des codes de sécurité bancaire et même des informations de carte de crédit. Mais ce logiciel malveillant va au-delà des attaques « overlay » bien connues, utilisées par les chevaux de Troie bancaires, car il combine des fonctionnalités avancées telles que le streaming d’écran du téléphoné infecté, l’accès à tous les fichiers à distance, l’enregistrement sonore, le key-logging et même un proxy réseau, ce qui en fait un malware bancaire efficace, mais également un potentiel outil pour espionnage.

D’un point de vue opérationnel, Anubis peut être considéré comme l’un des chevaux de Troie bancaires Android les plus utilisés depuis fin 2017. En ce qui concerne les banques Françaises, les suivantes sont ciblées : Axa, Banque Populaire, BNP Paribas, Boursorama, Caisse d’Épargne, Crédit Agricole, Crédit Mutuel, LCL, Palatine ou encore la Société Générale.

L’auteur a disparu, par son code malveillant

Au cours du premier trimestre 2019, l’auteur et créateur du cheval de Troie a disparu, laissant les clients existants sans assistance ni mises à jour; mais le risque demeure et pourrait même augmenter. Les campagnes d’infection d’Anubis comptent parmi les plus importantes jamais enregistrées pour les malwares bancaires : De nombreuses victimes ne sont pas conscientes du fait que le malware ne se déguise pas comme l’app de la banque, il se déguise principalement en tant qu’application tierce et reste inaperçu par les usagers. Anubis se fait par exemple passer pour : de faux jeux mobiles, de fausses mises à jour de logiciels, de fausses applications postales, de fausses applications Flash Player, de fausses applications utilitaires, de faux navigateurs et même de fausses applications de réseau social et de communication.

Les caractéristiques du cheval de Troie en font une menace importante : Habituellement, les chevaux de Troie bancaires effectuent principalement des attaques de type « overlay » afin de collecter les informations personnelles puis volent les SMS pour acquérir les codes bancaires, mais Anubis va plus loin que ça avec la streaming de l’écran du téléphone infecté, l’accès de fichiers à distance (accès au stockage du téléphone), l’enregistrement sonore, le key-loggign et même un proxy réseau (permettant au criminel de se connecter à la banque via le téléphone infecté).

300 banques dans le monde ciblées

Les campagnes d’infection d’Anubis ciblent en moyenne, plus de 300 banques dans le monde: La liste observée dans les campagnes Anubis contient environ 360 cibles, contenant la plupart des banques les plus grandes et les plus connues dans le monde, mais également des applications de communication et de réseautage social largement utilisées, ce qui signifie que personne n’est vraiment protégée, car même si une victime ne fait pas de banque en ligne le malware abusera d’autres applications (Liste complète de cibles en Annexe du blog).

Les malware qui deviennent orphelins ne sont pas toujours un bon signe : Beaucoup de gens pourraient penser que lorsque le propriétaire / auteur du malware disparaît, les opérations s’arrêtent… Malheureusement, ce n’est pas toujours le cas, surtout pas avec Anubis. Bien que l’acteur ait disparu, le cheval de Troie est toujours actif et le pire est que son code a été divulgué/fuit, ce qui pourrait amener de nombreux autres criminels à utiliser le programme malveillant. Toute l’analyse complète à découvrir sur Threat fabric.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile